Hurafeler • “POST” metod daha güvenlidir hacı. • “hidden” input kimse tarafından görüntülenemez. • Kodu bir tek ben görüyorum, benden başka kimse neyin nasıl olduğunu tahmin edemez.
Artizlik • Benim işim değil, (sistemcini|veritabancını)n işi. • Ben biliyom, en çok ben bilirim, en çok bana soracaksınız. Şurdan şöyle girdiler sisteme.
Ne gerek var? • Saldırıların %70’i altyapıya değil uygulamaya yapılıyor. (Gartner) • DDoS saldırılarının %25’i uygulamaya yapılıyor. (Gartner) • Kurumların %73’ü 2 yıl içinde en az 1 defa, web uygulamaları üzerinden “hack”leniyor. (Phonemon Institute) • Altyapıda/ağda yapılacak çözümler uygulamaya saldırı yapılmayacak anlamına gelmez.
Oku, Tanı, Takip Et • RTFM! • Çalıştığın ortam (veritabanı, web sunucusu, işletim sistemi) • Kullandığın kütüphaneler • Yeni birşey var mı? Neyi düzeltmişler?
Güvenlik Önlemsiz Doğrudan Erişim (Insecure Direct Object Reference) • Sadece kullanıcıdan gelen veri ile hareket etmek. • Talep edilen veri gerçekten ziyaretçiye mi ait? $query = "SELECT * FROM sepetler WHERE hesap_no = " . intval($_GET['hesap_no']);
?> http://ornek.com/alisveris_sepetim.php?hesap_no=123
Zafiyetleri Bilinen Bileşenler Kullanmak • Eceli gelen köpüş cami duvarına … • A: Güncelleme geldi sahip. B: Önemli birşey yoktur, yarın bakarım. • Genellikle otomatik tarayıcılar sizi gelir bulur. • Takip Et: Common Vulnerabilities and Exposures (CVE) • http://cve.mitre.org
Kontrolsüz Yönlendirmeler (Unvalidated Redirects / Forwards) • Ziyaretçiler gerçekten tahmin ettiğin gibi senin uygulaman içinde bir yere mi yönlendiriliyorlar? if ($giris == 'tamam') {
header("Location: $adres");
}
?>